AG Mitte: Keine Haftung für Freundschaftseinladungen?

Immer wieder gern lese ich Berichte über interessante Entscheidungen der Gerichte zu schwierigen Entscheidungen aus dem Bereich des Verbraucherschutzes, insbesondere aus dem Bereich des Werberechts. Gerade bei shopbetreiber-blog finde ich regelmäßig interessante Neuigkeiten hierzu. So kam mir denn der Artikel auch gleich bekannt vor. Als Vertreter der erstinstanzlich unterlegenen Antragstellerseite hätte es mich allerdings gefreut, wenn die Kollegen Schwenke und Dramburg den Autor Martin Rätze noch mit einigen zusätzlichen Details des Falles versorgt hätten bzw. wenn diese in die Veröffentlichung eingeflossen wären. So kann den nun das interessierte Publikum derzeit fröhlich darüber spekulieren, was denn genau hier unter einem Hack bzw. einem Hackerangriff zu verstehen sei. Sie werden überrascht sein: Ich frage mich das bis heute, obwohl ich die Schriftsätze der Kollegen kenne.

Nach meinem Verständnis gehört zur Verwendung des Wortes Hackerangriff doch zumindest auch die Überwindung irgendwie gearteter Sicherungsmechanismen. Allein wurde ich auf der Suche nach konkreten Darlegungen in den Schriftsätzen der Kollegen, welche Sicherungsmechanismen der privatesportsale GmbH die angeblichen Angreifer auf mysportsbrands.de denn überwinden mussten, kaum fündig. Nach Darstellung von mysportsbrands.de von der privatesportsale GmbH im Verfahren seien am 18. und 19.12.2010 innerhalb von 72 Stunden 188.000 Einladungs-E-Mails versandt worden. 

Die Behauptung, die unbekannten Angreifer hätten Passwortsicherungen geknackt oder ähnliches findet sich nirgends. Eidesstattlich versichert wurde zur Frage des Eindringens ins System von Mitgeschäftsführer Erik Pfannmöller lediglich:

„Von zwei IP Adressen wurden mehrfach Login Versuche unternommen, danach wurden Einladungsmails automatisiert versendet.“

Aufgrund der Zahl, Zeitdifferenz und Dauer müsse dies automatisch geschehen sein. Nun, das mag sein, bedeutet aber nach meinem Verständnis noch keinen „Hack“ oder gar keinen „Hackingangriff“. Im Dunklen bleibt, ob irgendwelche Sicherheitseinrichtungen überwunden wurden. Der diesbezügliche Vortrag geht bisher sinngemäß dahin – die Kollegen mögen mich im Zweifel korrigieren – dass seitens angeblicher Unbekannter einfach neun Kundenkonten eingerichtet, in diese sich dann eingeloggt wurde und statt einer oder drei eben automatisiert ein paar tausend Freundschaftseinladungen versandt worden seien. Dies muss man wohl so dass die angeblichen Damen und Herren „Schädiger“ einfach ordnungsgemäß angemeldet und eingeloggt haben, wie es ein normaler Nutzer macht? Das Gegenteil ist jedenfalls nicht konkret erkennbar vorgetragen. Wenn danach lediglich die Versendung der Einladungsmails selbst durch ein Skript beschleunigt wird, kann man das dann schon einen Hackerangriff nennen?

Die Argumentation des Amtsgerichts erscheint hier fragwürdig. Nach bisheriger Rechtsprechung derselben Abteilung des AG Mitte ist der (manuelle) Versand einer einzigen derartigen unerbetenen Einladungswerbung eine Rechtsverletzung. Die Richterin meint nun aber, dass dies dann anders sein solle, wenn die empfangene E-Mail eine von mehreren zehntausend sei, die über 3 Tage angeblich unbemerkt von angeblich Unbekannten versandt wurde. Das Gericht meint hier, es sei glaubhaft gemacht, dass die Versendung nicht durch ein „ordentliches Mitglied“ erfolgt sei, sondern „dass mittels eines eingeschleusten Programms Dritte eine massenhafte Versendung angeblicher Einladungsmails veranlasst hätten“. Was aber ist ein „ordentliches Mitglied“ nach Auffassung des Gerichts? Dieselbe Handlung soll haftungsbegründend sein, nur weil sie besonders oft und schnell und mittels Hilfsmittel erfolgt? Eine Rechtsverletzungscharakter soll also im Ergebnis dadurch entfallen, dass die Rechtsverletzung statt einmal gegenüber einer Person, zugleich auch noch zugleich vieltausendfach gegenüber anderen Personen stattfand?

Mit anderen Worten: Wer über seinen Server nicht nur eine einzelne rechtswidrige Einladungszusendung zu verantworten hat, sondern schlampigerweise sogar zulässt, dass Dritte gleich über mehrere Tage viele Tausend gleichartige Einladungen versenden können, soll hier mit dem amtsgerichtlichen Persilschein belohnt werden? Dies auch noch, obwohl ausdrücklich vertreten wird, dass jede registrierte Person auch künftig noch binnen 24 Stunden bis 30 Einladungen verschicken kann, die das Amtsgericht in dieser manuell versandten Form auch weiterhin für rechtsverletzend hält? 

Widersprüchlich erscheint es zudem auch, wenn das Amtsgericht nach der Bekräftigung der Rechtswidrigkeit bereits der einzelnen „normalen“ Einladungsmail meint, dass

„eine Wiederholungsgefahr im geschehenen Sinne nicht besteht, da nunmehr die Einladungsfunktion zahlenmäßig beschränkt und zum Aktenzeichen (…) Strafanzeige gestellt wurde. Die Verfügungsbeklagten haben damit alles ihnen Mögliche unternommen um in Zukunft derartigen Zugriff auf ihr Portal zu unterbinden „

Hier stellt sich dogmatisch schon die Frage, warum überhaupt von Wiederholungsgefahr die Rede ist, wenn es doch bereits an einer Verantwortlichkeit fehlen soll.

Aber dies sollten nicht die einzigen Fragen bleiben. Bei der Registrierung, so die Prozessvertreter der privatesportsale GmbH erstinstanzlich, müsse ein Mitglied mindestens Namen, Adresse und ein Passwort angeben. Eine

„Verifizierung der E-Mailadresse findet via Double-Opt-in statt.“

Eidesstattlich versichert ist diese Aussage interessanterweise und im Gegensatz zu allerhand anderen Ausführungen gerade nicht. Wie es der Zufall so will, erhielten nachweislich Personen, die bei einer Anmeldung den Bestätigungslink der Verifizierungs-E-Mail nicht geklickt hatten, denn auch frisch und munter Werbe-E-Mails von mysportsbrands.de.

Eidesstattlich versichert hat hingegen Mitgeschäftsführer Erik Pfannmöller unter dem 01.02.2011:

„Mir sind bisher auch keine Beschwerden von Empfängern dieser Einladungsmails bekannt“

Nachweisbar ist indes nicht nur, dass sich der Antragsteller zwischenzeitlich beschwert hatte, sondern auch, dass das „Supportteam von mysportsbrands.de“ einen Eingang mindestens einer weiteren Beschwerdemail einer anderen Person ausdrücklich per E-Mail bestätigt hatte. Da war Herr Pfannmöller aber vermutlich leider gerade nicht da. Vielleicht nimmt er als Geschäftsführer der privatesportsale GmbH aber auch einfach grundsätzlich Beschwerden praktischerweise nicht zur Kenntnis. Auf jeden Fall wäre es dann nicht strafbar, eidesstattlich zu versichern, dass man von Beschwerden bislang keinerlei Kenntnis habe.

Bei dieser Gelegenheit kann ich mich doch nicht zurückhalten und frage die verehrte Leserschaft: Gibt es vielleicht noch jemanden, der sich wegen derartiger Mails Ende 2010 sofort bei mysportsbrands beschwert hatte, wovon Herr Erik Pfannmöller bedauerlicherweise mutmaßlich ebenfalls nichts mitbekommen hatte?  

Schließlich stellt sich im Ergebnis vor allem auch die höchst interessanten Frage, was wohl die Intention der angeblich so böswilligen Angreifer gewesen sein mag, als sie die Welt kurz vor Abschluss des Weihnachsgeschäfts 188.000 fach auf das Shopping-Portal mysportsbrands.de der privatesportsale GmbH aufmerksam machten. Nicht völlig fernliegend war immerhin aus Sicht der angeblichen Schädiger vor ihrer Aktion, dass diese der privatesportsale GmbH einen rasanten Umsatzschub bescheren, statt sie schädigen würde.

Auf antispam.de im Forum des Verbraucherschutzvereins Antispam e. V.  wird derweil auch über die Einladungsmails vom Portal mysportsbrands.de diskutiert.

Klar und richtig erscheint mir im Ergbnis, dass ein tatsächlicher schädigender Dritteingriff dann nicht zur Haftung des Shop-Betreibers führen kann, wenn er sich grundsätzlich rechtmäßig verhält und sein System in üblicher Weise abgesichert hat. Betreibt man jedoch ein bereits grundsätzlich ein derart zweifelhaftes System wie die tell-a-friend-Funktion ohne zureichende Missbrauchskontrolle, ergreift selbst nach erfolgtem Missbrauch auch nicht etwa wirksame Maßnahmen, um die Wiederholung des Geschehenen zu verhindern, sondern beschränkt es nur in zweifelhaftem Umfang, dann sollte die Haftungsfrage keine sein. 

Man darf gespannt, ob das AG Mitte hier wirklich das letzte Wort gesprochen hat oder ob das Landgericht den aufgeworfenen Fragen im Rahmen der Berufung nachgehen wird.